Taggat med: Signal

Web3 och säkerhetsproblem

Web3 (eller web 3, web 3.0) beskrivs som en decentraliserad form av internet som baseras på blockkedjeteknik. Men länge har det ifrågasatts hur decentraliserad web3 egentligen är, bl.a. genom ett blogginlägg av Signals grundare Moxie Marlinspike.

Själva grundstommen i web 3 består av marknadsplatser såsom OpenSea och Rarible där webbläsar-tillägg såsom Metamask och TrustWallet används (dApps) och decentralized finance (DeFi) är också ett begrepp som cirkulerar. Men bara för att det är tillägg till webbläsaren och du själv sitter på dina privata nycklar så används olika centraliserade API:er.

Metamask

Senaste dagarna så har även phishingen ökat markant, speciellt eftersom få läser igenom de smarta Ethereum-kontrakt som man godkänner via sin webbläsar-plånbok. Det har även visat sig att det går att skapa kontrakt där ett enda godkännande kan användas för att stjäla samtliga NFT:er som någon äger. Och för den som inte är insatt så står NFT för Non-fungible token och används främst för att köpa och sälja digital konst.

Bild på hur phishing kan se ut via E-post där någon utger sig för att vara marknadsplatsen OpenSea:

Och förutom E-post så används även Discord i stor utsträckning. Även så förekommer andra sociala medier såsom Twitter:

Och att bli av med en eller NFT:er kan innebära stora summor. Den senaste Bored Ape Yacht Club (BAYC) såldes för 2.3 miljoner kronor. Men jag är dock positiv till hela rörelsen med Web 3 och anser att det vi ser nu är bara initiala problem. För flertalet problem har redan lösts eller håller på att lösa sig såsom att många NFT:er förlitar sig på centrala servrar eller IPFS-pekare som är single point of failures. Därför har flertalet projekt nu konverterat till NFT on-chain.

Phishingen är dock inte lika enkel att lösa rent tekniskt: Framförallt gäller det att begränsa vilka sajter man godkänner i MetaMask samt se över vilka godkännande man har, se exempelvis Etherscan Token Approval Checker. Att använda sig av flertalet wallets såsom en ”burner wallet”, men inte lika enkelt då gas fees (transaktionsavgifterna) är relativt höga på Ethereum-nätverket.

Och har man blivit av med en NFT eller kryptovaluta så är det svårt att få tillbaka dessa. Just för att det inte finns någon central styrning. Men att använda stulen kryptovaluta eller NFT:er måste någon gång omsättas och då finns det skydd på de flesta centrala handelsplatserna och därför använder kriminella exempelvis over-the-counter transaktioner (OTC) eller Tornado Cash mixer.

Sammanfattning

Jag tror Web3 är här för att stanna och problemen vi ser just nu bara är initiala problem och växtvärk. Oavsett vilken bransch man verkar inom så är phishing svårt att förbygga men det går, bl.a. genom tekniska lösningar och utbildning.

Skulle det inte vara möjligt för Metamask och andra att ge någon slags fingervisning vad kontraktet man godkänner verkligen innehåller?

Givetvis så har även marknadsplatserna en hel del att lära och utveckla:

Wyvern (ERC20, ERC721) är ett av de protokoll som smarta kontrakt som Ethereum använder sig av.

CIA Vault7 läcka från Wikileaks

Jag tänkte kommentera gällande den senaste läckan från Wikileaks som inkluderar en stor mängd olika cyber-relaterade verktyg, metoder etc från vad som sägs är CIA.

Läckan ser ut att komma från något inom CIA som heter devlan.net och är troligtvis ett utvecklingsnätverk för cybervapen. Eftersom CIA till skillnad från NSA bedriver HUMINT så kräver majoriteten av verktygen fysisk access till enheten.

Det ser inte ut att finnas några överdrivna referenser till zero-days och generellt håller det som är läckt inte den högsta tekniska förmågan. Läckan innehåller även referenser till skadlig kod som CIA troligtvis installerar och antivirus-företagen är redan på att skriva signaturer för att identifiera CIA:s verktyg.

Viktigt också att tillägga är att om du kan ta dig in på en mobiltelefon genom att utnyttja sårbarheter så kommer du givetvis också åt applikationer såsom WhatsApp och Signal.

Även så finns det referenser till att CIA kan installera verktyg för att avlyssna via en vanlig Samsung Smart-TV. Och även detta kräver troligtvis fysisk access till TV:n innan eller när den införskaffas.

Läckan inträffade under förra året och de läcka filterna troligtvis varit tillgänglig för andra sedan tidigare. Den innehåller 8761 dokument och filer men inte så många binärer annat än ett fåtal exe-filer och python-kod.

Kommentar som återfinnes i läckan:

What did Equation do wrong, and how can we avoid doing the same?

Signal – Ny app för krypterade samtal

signalSignal från Open Whisper Systems är en ny app till iPhone som använder sig av ZRTP för krypterade telefonsamtal. ZRTP är skapat av Phil Zimmermann som även är fader till PGP. Även så har Zimmermann ett företag vid namn Silent Circle som erbjuder en liknande krypteringsmjukvara vid namn Silent Phone men till skillnad från Signal så kostar det att använda Silent Phone. 

Signal är öppen källkod och är inte det första projektet för krypterade samtal som Moxie Marlinspike står bakom (grundaren av Whisper Systems). Tidigare har han varit med och skapat Redphone till Android-baserade telefoner (som vi skrev om 2010).

Twitter köpte Whisper Systems och dess två anställda 2011 och därför släpps all öppen källkod under namnet Open Whisper Systems.

Uppdatering: Signal stödjer nu även krypterade meddelanden (eller SMS som det brukar kallas i folkmun).

Här finnes källkoden på GitHub:

https://github.com/WhisperSystems/Signal-iOS

Och länk till Apple Store:

https://itunes.apple.com/app/id874139669

Skärmdump:

Signal